CISA Releases Recovery Tool for VMware Ransomware Victims
2023/02/08 InfoSecurity — VMware VM (Virtual Machine) を狙うランサムウェアの、世界的なキャンペーンの影響を受けた被害者たちが、システムを回復するたの新しいスクリプトを、CISA が公開した。ランサムウェアの支払い追跡サービスを提供する Ransomwhere は、月曜日に行われたインターネット全体のスキャン調査をベースにっして、この被害者の数は 3,800件と推定している。さらに同社は、4回の支払いで合計 $88,000 が支払われたと述べているが、このキャンペーンの規模を過小評価している可能性がある。
各国の CERT からの最初の報告によると、このキャンペーンの背後にいる脅威アクターは、OpenSLP のヒープ・オーバーフロー問題を誘発することにより、VMware ESXi hypervisor 上でリモート・コードを実行する、古い脆弱性 CVE-2021-21974 を悪用しているとされている。
しかし、VMware のアップデートには、「著しく古い製品が既知の脆弱性を狙われている」との記載がありるため、複数の脆弱性の悪用が示唆されていると思われる。
VMware は、「この点を考慮し、現時点で確認されている脆弱性に対処するために、vSphere コンポーネントを最新のバージョンにアップグレードしてほしい。また、ESXi の OpenSLP サービスを無効化することも推奨する。2021年の ESXi 7.0 U2c/ESXi 8.0 GA は、このサービスをデフォルトで無効化した状態で出荷を開始している」と述べている。
そして CISA は、侵害されたユーザーが VM を復旧するためのツールを公開した。
研究者の Enes Sonmez とAhmet Aykac による調査結果に基づき、このスクリプトは、ランサムウェアが暗号化していない仮想ディスクから、VM メタデータを再構築することで機能する。
CISA は、「ESXiArgs 復旧スクリプトを使用する場合には、事前にスクリプトの導入を慎重に検討し、その環境が適切であるかどうかを判断する必要がある。このスクリプトは、暗号化された設定ファイルを削除しようとするのではなく、VM へのアクセスを可能にする新しい設定ファイルを作成するものだ」と説明している。
同機関はさらに、「このようなスクリプトが、安全で効果的であることを保証できるように活動しているが、このスクリプトは暗黙的/明示的に保証されるものではない。このスクリプトがシステムに与える影響を理解せずに使用することは避けてほしい」と忠告している。
この問題については、2023/02/03 の「VMware ESXi Server の脆弱性 CVE-2021-21974:ESXiArgs ランサムウェア攻撃の標的に」でお伝えしています。そして、CISA が復旧のためのスクリプトを提供しましたが、すでに脅威アクターは、データの非暗号化部分を調整し、このスクリプトの無効化を達成しているようです。詳しくは、2023/02/08 の ESXiArgs の第二波攻撃:CISA スクリプトによる VMware ESXi の復旧は不可能に? を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.